新的网络安全标准

❶ 请问网络安全方面的标准有哪些

前几天我朋友的电脑中了病毒，病毒感染了很多EXE文件，修复难度很大，无奈只好格式化掉，损失惨重。我的电脑很少中毒，至少在我知道的情况下我的电脑没用中过毒。消灭病毒的难度是很大的，但做好预防工作却是非常容易的。下面是我的一些做法，个人认为做好下面的措施，电脑中毒机会的就会是微乎其微，这些措施只针对Windows操作系统。
1、必须安装防火墙和杀毒软件

不管你是怎样的高手，这两种软件还是需要安装的。虽然在面对新病毒时，杀毒软件会变得手足无措，倒不如自己上网找杀毒办法。但有一个杀毒软件就是多了一道屏障，不管这道屏障有多高或多矮，始终是利大于弊的。杀毒软件我用的是金山毒霸，我觉得不错，建议安装金山毒霸！

防火墙也是必须要安装的，同时最好还安装一些监测网络进程的程序，时刻监视有无恶意程序在进行非法操作。

另外，一些流氓软件专杀也是非常有用的，比如360安全卫士，金山清理专家等。

2、为Administrator用户降权

在Windows操作系统里，Administrator是最高级的用户，在正常的登陆模式是无法看到的，因此很容易忽略由Administrator用户带来的安全问题。

Administrator用户的初始密码是空的，如果没用安装防火墙，黑客很容易通过Administrator帐户进入你的电脑。这时做什么都已经为时已晚了。

事实上，这并不是降权，是创建一个伪造的，无实际权利的Administrator用户。

具体操作如下，先以一个非Administrator的管理员帐户登陆windows，然后打开：控制面板-管理工具-计算机管理-本地用户和组-用户，删除Administrator用户，再创建一个新的Administrator用户，右击设置密码，密码有多复杂就多复杂，让其隶属于最低级别的用户组，并在属性里勾选帐户已停用。如图1所示。

这样，即使别人破解了你的Administrator帐户，进入后也发现只是一个没用实权的帐户。

3、禁止所有磁盘自动运行

如今U盘病毒盛行，稍不小心就会导致“格盘”。U盘病毒一般的运行机制是通过双击盘符自动运行，因此，禁用所有磁盘的自动运行是一种相当有效的预防手段。

具体的操作过程是：运行输入gpedit.msc-->用户配置-->管理模板-->系统，双击右侧列表里的关闭自动播放，选择“所有驱动器”，然后选择“已启动”。确定退出。

4、不双击U盘

如果你没用禁止所有磁盘自动运行，又或者你在别人的计算机上使用U盘，最好不要双击U盘。这很容易触发U盘病毒，最好的方法是先用杀毒软件扫描。

U盘里的病毒一般清除方法是，通过资源管理器进去看看U盘里有无autorun.inf文件，通常是隐藏的。删除autorun.inf文件以及它所指向的程序，然后重新拔插U盘。

5、经常检查开机启动项

经常在运行里输入msconfig查看启动项，发现有异常的马上在网上找资料，看看是不是病毒。当然，你不一定要用msconfig，超级兔子等软件也是非常不错的。如图2所示。

6、经常备份重要数据

一些重要的数据，必须经常备份，例如重要的图片、个人信息等等。我大概一个月会刻录一次重要的资料，以防万一。

7、使用GHOST

经常使用Ghost备份操作系统盘，遇到严重问题时直接恢复整个系统盘，这是懒人的做法，懒得找病毒的隐藏地，但同时也是高效快捷的方法。问题是你必须经常使用Ghost进行备份，不然你恢复系统盘也会有所损失，至少损失了最近安装的程序(的注册信息)。

8、隐私文件要加密

使用一些加密程序加密那些你认为不能暴露于公众的文件，网上有很多这样的免费软件。不要以为隐藏了文件就行，隐藏只是一种自欺欺人的方式，加密了，即使你有类似“陈冠希”的照片也不会太危险。

9、使用Google

之所以推荐使用Google不是因为我对Google的偏爱，而是Google搜索里提供的网站安全信息提示。当搜索结果的某网页里含有病毒或木马时，Google会给出提示。

10、使用Firefox

Firefox不是万能的，但总比IE好，相比起IE，使用Firefox能有效地降低中毒几率。

11、使用复杂的密码

这是老生常谈的话题了，但还有很多人使用简单的数字密码，例如生日、身份证号等等，这是极容易被猜测的。“放心，我的生日只有我的朋友知道”，谁说你的朋友一定不会窥看你的隐私？

12、不要告诉任何人你的密码

在聊天工具里告诉别人你的密码你将面临4种风险：

A、你的电脑可能被挂马，密码被窃取了。

B、聊天工具提供商也有可能窃取你的密码。

C、聊天对方有可能利用你对他的信任去做不诚实的行为。

D、聊天对方的电脑中毒了，你的密码被窃取。

13、不要随便接收文件

尤其是在QQ里，别人发来文件，不要二话不说就接收，这是很危险的。一定要问清楚别人发的是什么东西，是不是他主动发的。接收后也不要马上运行，先用杀毒软件扫描一遍。

❷ 信息安全等级保护十三大重要标准是什么

计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类标准）
信息系统安全等级保护实施指南 （GB/T 25058-2010） （基础类标准）
信息系统安全保护等级定级指南 （GB/T 22240-2008） （应用类定级标准）
信息系统安全等级保护基本要求 （GB/T 22239-2008） （应用类建设标准）
信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准）
信息系统等级保护安全设计技术要求 （GB/T 25070-2010） （应用类建设标准）
信息系统安全等级保护测评要求 （GB/T 28448-2012）（应用类测评标准）
信息系统安全等级保护测评过程指南 （GB/T 28449-2012）（应用类测评标准）
信息系统安全管理要求 （GB/T 20269-2006） （应用类管理标准）
信息系统安全工程管理要求 （GB/T 20282-2006） （应用类管理标准）
信息安全技术网络安全等级保护基本要求（GB/T 22239-2019）（基础类标准）
信息安全技术网络安全等级保护安全设计技术要求（GB/T 25070-2019）（应用类建设标准）
信息安全技术网络安全等级保护测评要求（GB/T 28448-2019）（应用类测评标准）

❸ 网络安全的标准是什么

这个要看你指的是什么方面，如果从基础方面来讲，信息保密、网络加固、系统安全等都会涉及到相关的网络安全标准。 如果从更高的方面而言，网络安全的标准可以扩展到整个互联网的安全或者说骨干网络、路由等设备的安全等。 而上述的每个标准都是不一样的，建议去各个专业网络寻找资料：藏锋者网络安全: http://www.cangfengzhe.com

❹ 国家网络安全标准方面有何规定

根据《网络安全法》第15条规定，国家建立和完善网络 安全标准体系。国家标准 化管理委员会应会同其他机构建立网络安全标准体系， 制定并修改完善有关网络安全管理以及网络产品、服务 和运行安全的国家标准、行业标准。网络安全设备制造企业、网络安全技术和政策研究 机构、高等学校、网络相关行业组织具有技术和人才优 势，应积极参与网络安全国家标准、行业标准的制定， 对此，国家持鼓励态度，并应出台相关政策予以支持。

❺ 网络安全分为几个级别

网络安全分为四个级别，详情如下：

1、系统安全

运行系统安全即保证信息处理和传输系统的安全。它侧重于保证系统正常运行。

2、网络的安全

网络上系统信息的安全。包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计。安全问题跟踩。计算机病毒防治，数据加密等。

3、信息传播安全

网络上信息传播安全，即信息传播后果的安全，包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果，避免公用网络上大云自由传翰的信息失控。

4、信息内容安全

网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。

(5)新的网络安全标准扩展阅读

网络安全的影响因素：

自然灾害、意外事故；计算机犯罪； 人为行为，比如使用不当，安全意识差等；黑客” 行为：由于黑客的入侵或侵扰，比如非法访问、拒绝服务计算机病毒、非法连接等；内部泄密；外部泄密；信息丢失；电子谍报，比如信息流量分析、信息窃取等。

网络协议中的缺陷，例如TCP/IP协议的安全问题等等。网络安全威胁主要包括两类：渗入威胁和植入威胁。渗入威胁主要有：假冒、旁路控制、授权侵犯。

❻ 网络安全等级保护2.0国家标准

等级保护2.0标准体系主要标准如下：1.网络安全等级保护条例2.计算机信息系统安全保护等级划分准则3.网络安全等级保护实施指南4.网络安全等级保护定级指南5.网络安全等级保护基本要求6.网络安全等级保护设计技术要求7.网络安全等级保护测评要求8.网络安全等级保护测评过程指南。
第一级（自主保护级），等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；
第二级（指导保护级），等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；
第三级（监督保护级），等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；
第四级（强制保护级），等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；
第五级（专控保护级），等级保护对象受到破坏后，会对国家安全造成特别严重损害
相较于1.0版本，2.0在内容上到底有哪些变化呢？
1.0定级的对象是信息系统，2.0标准的定级的对象扩展至：基础信息网络、云计算平台、物联网、工业控制系统、使用移动互联技术的网络以及大数据平台等多个系统，覆盖面更广。
再者，在系统遭到破坏后，对公民、法人和其他组织的合法权益造成特别严重损害的由原来的最高定为二级改为现在的最高可以定为三级。
最后，等保2.0标准不再强调自主定级，而是强调合理定级，系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，定级更加严格。
总结通过建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。法律依据：《中华人民共和国网络安全法》
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
（四）采取数据分类、重要数据备份和加密等措施；
（五）法律、行政法规规定的其他义务。
第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

❼ 国家建立和完善网络安全标准体系什么和国务院其他有关部门根据各自的职责

国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

2017年6月1日，《网络安全法》将正式施行，标志着网络空间治理、网络信息传播秩序规范、网络犯罪惩治等方面即将翻开崭新的一页，国家网络安全将拥有更为完善的法律基础和保障。网络安全标准化是网络安全保障体系建设的重要组成部分，在维护网络空间安全、推动网络空间治理体系变革方面发挥着基础性、规范性、引领性作用。《网络安全法》对于网络安全标准化工作也提出了更明确的要求。

(7)新的网络安全标准扩展阅读：

进一步加强网络安全标准体系建设。《网络安全法》第十五条规定，国家建立和完善网络安全标准体系。根据国家标准委授予的职责范围，全国信息安全标准化技术委员会（TC260）承担着组织制定标准和持续完善国家信息安全标准体系的职责，多年来推动国家网络安全保障体系建设所需标准的制修订工作，初步形成了国家网络安全标准体系。

中央网信办、国家质检总局、国家标准委联合印发的《关于加强国家网络安全标准化工作的若干意见》指出，建立统一权威的国家标准工作机制，全国信息安全标准化技术委员会在国家标准委的领导下，在中央网信办的统筹协调和有关网络安全主管部门的支持下，对网络安全国家标准进行统一技术归口，统一组织申报、送审和报批。

因此，需要加强网络安全标准战略性、方向性、基础性的研究，既要突出重点，也要拓展覆盖面；既要统筹推进国家标准和行业标准制修订工作，也要适时引进国外有关标准，进而逐步建立起与《网络安全法》相配套的国家网络安全标准体系，以适应新形势对网络安全标准化工作的更高要求。

❽ 等级保护新标准2.0解读

2019年，等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布，并于2019年12月1日开始实施，我国也正式迈入等保2.0时代。

下面是等保2.0三大核心新标准的介绍：

1、GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》

该项标准是等级保护标准体系的核心，对2008版标准中提出的基本要求进行了修改完善，形成安全通用要求；对云计算、大数据、移动互联、物联网、工业控制等新技术和新应用领域，提出了安全扩展要求。

2、GB/T25070-2019 《信息安全技术 网络等级保护安全设计技术要求》

该标准主要对共性安全保护目标提出通用安全设计技术要求，该标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施，也可作为网络安全职能部门进行监督、检查和指导的依据。

3、GB/T28448-2019 《信息安全技术 网络安全等级保护测评要求》

该标准与等级保护基本要求保持一致，主要明确了测评对象、测评判定规则等内容。该标准为安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象的安全状况进行安全测评提供指南。信息安全监管职能部门进行网络安全等级保护监督检查时参考使用。

此外，从等保1.0到等保2.0，等级保护发生的主要变化有：

1、意义的变化

由信息安全等级保护→网络安全等级保护，强调网络空间安全。网络安全法第21条、第31条明确规定了网络运营者和关键信息基础设施运营者，都应该按网络安全等级保护制度的要求对系统进行安全保护，以法律的形式确定等级保护工作为国家网络安全的基本国策，并在法律层面确立了其在网络安全领域的基础、核心地位。

2、对象的变化

新等保实现了保护对象的全覆盖，更具普适性与指导性，对象扩大了（包括基础网络），通用要求加扩展要求（工控、云计算、大数据、物联网、移动互联），更适应当前信息化高速发展所面临的新问题新挑战。

3、定级的变化

三级系统的定级新增了一类受侵害客体：对于公民、法人和其他组织的合法权益造成严重影响的应定为三级。

4、测评标准的变化

测评要求的测评单元中增加了【测评对象】项，进一步明确了测评的对象。测评条件更具适应性但是要求更严格（复测评周期、测评控制项的减少、合规基线上调测评75分以上合格，当然这部分要求在部分地区部分行业主管单位现行等保标准也有基于现状及预期效果有弹性要求、例如个别地区卫健委要求医院等保初次等保测评合格分数基线为80分，复测评合格分数基线为85分）、某省金融行业等保测评合格分数基线为90分。四级及以上系统复测评周期延长，改为一年为复测评周期，兼顾考虑了实际等级保护工作所面临的复杂情况，更符合实际工作的场景。

5、定级备案实施方面的变化

等保2.0在定级备案实施也发生了变化，在备案环节原30天内备案的时间缩短为10个工作日。等保2.0的定级，不是自主定级，到公安机关定级备案前要新增两个关键环节，确保定级备案的严谨与准确，第一对于定级对象的等级要经过专家评审，第二要经得主管部门审核通过，才能到公安机关备案确定最终等级保护对象的级别，整体定级更加严格。新建的第三级以上定级对象，通过等级测评后方可投入运行，加强“同步性”原则。

6、其他

从等级保护2.0框架中能够体现“一个中心，三重防护”的思想得以升华，等保2.0标准体系相比现行等保标准的安全体系更注重动态防御（变被动防护为主动防护，变静态防护为动态防护，变单点防护为整体防控，变粗放防护为精准防护），强调事前预防、事中响应、事后审计。等级保护2.0体系中要求应依据国家网络安全等级保护政策和标准，开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。

等保2.0首次加入了可信计算的相关要求并分级逐级提出可采用可信验证的要求。注意是可采用不是应采用。另外在恶意代码防范方面三级系统要求或采用主动免疫可信验证机制。四级以上恶意代码防范方面要求应采用主动免疫可信验证机制。

等保2.0新增个人信息保护内容，个人信息安全做为网络安全法的内容在等保要求控制项中也独立出现，在当前政务互通、人物互联，个人信息被广泛采集的商业、政务环境下，意指提升个人信息保护的重要性和必要性。